byc_404's blog
Do not go gentle into that good night
本文是关于自己用Node.js实现动态爬虫的一些记录以及踩坑。
周末进行的d^3CTF原本自己是没参加的。不过因为被问到了其中一道题目所以就做了下, 大概花了2个小时。题目难度虽然中等,不过个人认为其利用链的组成都是比较经典的漏洞。这里分享下自己的做题思路
打算写写Node里面最近遇到的知识了。
主要还是跟周末的虎符有关吧。作为二队打的,学校虽如期进入线下,但是自己这次还是有点小难受。刷了这么多题了,结果碰到两道并不算擅长的Node题目。只做出来第一道题。吐血的是第二题当时很清楚肯定是Node.js沙盒逃逸,也按照大致流程构造了payload,结果就是打不通。赛后同样的payload上buu一试瞬间成功执行,心态炸裂。
老实说Node题也算做了不少次了,相关的漏洞除了原型链比较熟悉其他的都不怎么了解。打算近期一方面把相关的题目多看下,然后就是基础语法巩固下,并且总结几个遇到的有用的trick.